《2023年数据保护法》对消费者业务的影响：未来之路

　　

　　

　　随着个人数据收集和处理的增加，缺乏全面的数据保护法，以及数据泄露和侵犯隐私事件的增加，有必要制定一项法律来解决这些问题。《2023年数字个人数据保护法》(DPDP Act, 2023)是由政府提出的具有里程碑意义的立法，为个人数据保护提供了一个全面的框架。

　　由于数据是消费行业的中心，新法案将产生重大影响。它对电子商务/D2C业务实施了几项规定，这将推动公司修改其数字安全战略方法。除此之外，生态系统中的其他参与者，如零售商、呼叫中心运营商、第三方物流、营销机构、销售/分销外包公司和支付服务商，也将受到新法案的管辖。

　　DPDP法案赋予用户某些权利，例如访问权、更正或删除权以及反对处理其个人数据的权利。企业必须熟悉这些权利并开始遵守这些权利。

　　它有望提高用户、品牌或平台之间的透明度，使企业负起责任，提高用户数据的安全性和隐私性，并有可能在行业内建立信任和信心。这是因为该法案要求企业在收集、处理或使用其个人数据之前获得用户的明确同意。条例亦规定他们须将个人资料的收集和使用限制在为收集资料的目的所必需的范围内，并须采取适当的保安措施，以保障个人资料不会因未经授权的查阅、使用或披露而遭到破坏。

　　任何机遇都会带来一定的挑战，以消费者为导向的企业将需要实施新的协议来遵守该法案，投资新技术来提高数据安全性，并对用户和员工进行数据隐私权教育。

　　总的来说，DPDPA对印度的行业来说是一个积极的发展。然而，玩家应该意识到该法案将带来的一些挑战，并采取某些措施来解决和减轻这些挑战。

　　以下是DPDPA将影响消费者业务的一些具体方式:

　　同意:企业在收集、处理或使用用户的个人数据之前，需要获得用户的“明确同意”。这种同意必须是自由的、具体的、知情的和明确的。公司也需要为此保持清晰的沟通。

　　目的限制:他们只能为收集个人资料的特定目的收集和使用个人资料。公司必须完全清楚他们从客户那里寻求的细节，以及收集这些细节的目的。

　　尽量减少资料:企业应只收集为其目的所需的最少数量的个人资料。

　　数据安全:他们必须采取适当的安全措施来保护个人数据免遭未经授权的访问、使用或披露。这意味着需要实现数据屏蔽和加密技术，以减轻与数据盗窃相关的风险。

　　泄露通知:企业必须将发生的任何数据泄露通知用户。必须建立健全的机制来识别数据泄露。目前，通信的时间框架尚未确定，将在该法案的规则中通知。

　　谁将成为数据受托人?

　　资料受托人负责决定收集个人资料的方法及目的。在电子商务中，品牌所有者、平台提供商或记录在案的卖家通常是数据控制者之一，因为他们在注册期间收集个人数据，并将其用于营销、分析和交付等各种目的。然而，如果他们只提供商品和服务而不访问个人数据，他们就成为数据处理者。

　　在平台和零售商场景中，他们作为数据受托人的角色可能会因参与数据收集和处理而有所不同。关键原则是，决定如何收集和处理个人数据的任何实体都是数据受托人。

　　根据该法案，电子商务公司可能是重要的数据受托人。这是因为他们收集和处理大量关于用户的个人数据，包括姓名、地址、联系信息、付款细节和浏览历史。这些数据可以用于各种目的，例如提供个性化购物体验、有针对性的广告和防止欺诈。

　　作为重要的数据受托人，电子商务公司将在DPDPA下承担额外的义务，例如:

　　确保数据保护:公司需要检查他们对数据保护的准备情况，包括(但不限于)数量、敏感性、透明度水平、人员使用为创新和研究提供数据和资源。他们还需要调查确保合规性、跨境数据流和客户在数据使用和与第三方共享数据方面的沟通所需的支持。不遵守最新的指导方针可能会受到各种惩罚。

　　有限公司定期进行数据保护影响评估:这将提高公司的合规成本。他们必须去。可以生成审计日志以跟踪修改和对数据库的访问的内部技术ses。

　　委任一名保障资料主任。

　　获得显式co在收集或处理其个人信息之前从用户处发送的信息最终达答:当用户未满18岁时，这个问题就更棘手了。

　　为用户提供访问他们个人的权限数据和删除能力:公司需要探索实时提供数据的选项，而不是与第三方共享数据。通过限制对数据的访问，技术将在这方面发挥关键作用。公司将不得不组建团队，以确保所有的反应立即处理擦除数据的故障。

　　在一定的理由内通知用户数据泄露纳夫莱timef名称:截至目前，该法案尚未定义“理性”纳夫莱Timef拉梅”。相同的将在“规则”中通知。

　　必须采取强有力的后果管理措施，例如保密协议，以阻止滥用个人资料。重点应放在尽量减少数据收集和只共享处理所需的数据上。数据在共享之前应该加密或屏蔽，以增强保护。

　　对行业的建议

　　实现健壮的数据加密和屏蔽

　　f命名适当的consent机制

　　在网站上显示隐私说明，阐明数据保护

　　UpdatE及时制定隐私政策

　　能得到所有公司都需要遵守跨境数据存储规范

　　确保没有针对18岁以下儿童的数据分析/活动定位

　　接受消费者从数据库中删除信息的权利当被要求时使用。

　　总的来说，《保护儿童权利法》仍处于实施的早期阶段，因此目前尚不清楚它将如何执行。对于那些目前更专注于建立业务，可能没有一个强大的IT框架的初创企业来说，这可能是一个真正的挑战。

　　除了DPDPA规定的法律义务外，电子商务/ D2C公司还有保护用户数据的道德义务。消费者越来越意识到数据隐私的重要性，并且更有可能与他们信任的负责处理数据的公司做生意。

　　通过遵守DPDPA并采取其他措施来保护用户数据，这些企业可以与客户建立信任，并为自己的长期成功奠定基础。

　　(作者是快速消费品公司的合伙人和行业领导者消费品)(Grant Thornton Bharat)